GuiGui's Show

En lisant ce qu'est Encrypted Client Hello chez Cloudflare, je suis tombé sur Oblivious HTTPS / OHTTP / Oblivious DNS-over-HTTPS. Fastly en parle également (via SebSauvage).

En gros, c'est du HTTPS en "double aveugle", une version simplifiée du routage en oignon de TOR : un relai (Fastly ici) connaît le demandeur mais pas le contenu (requête et réponse), et la destination connaît le contenu mais pas l'adresse IP du demandeur. Bref, c'est un proxy transparent.

Je suis très sceptique :

• Si le relai est un des CDNs les plus utilisés du monde (comme Fastly), alors la destination peut être un de ses clients, donc l'entité qui opère le relai accède bien, in fine, à la totalité des informations (contenu et IP du demandeur). Même sans ça, le relai connaît le site web de destination, au moins son adresse IP ou son nom d'hôte (TLS SNI) afin d'être en capacité de lui transférer les demandes, ce qui rend OHTTP pertinent uniquement dans un contexte d'hébergement mutualisé (sens propre ou CDN).
  
  
• Pour que le relai ne voit pas le contenu, il ne faut pas qu'il déchiffre la communication. Cela signifie qu'il va retirer une seule donnée identifiante concernant le demandeur : son adresse IP. Or, sur le web, des tonnes d'entêtes permettent de "reconnaître" et de profiler un internaute : le système de son terminal, le modèle et la version de son navigateur web (« User-Agent »), les langues demandées (« Accept-Language »), etc. Le site web consulté recevra ces informations.

Ça rajoute un intermédiaire, ça complexifie un diagnostic, ça n'apporte pas grand chose, et ça n'a d'intérêt que dans un monde d'acteurs hégémoniques.

Règlement européen en cours visant à réguler l'IA.

• Tout contenu généré par une IA devra être signalé comme tel.
  
  
• Autorisation par niveaux :
  • IA "interdites" : note sociale (fiabilité déduite du comportement), identification biométrique en temps réel ou à distance (photos sur le web), manipulations subliminales, exploitation des vulnérabilités (âge, handicap mental, sociales et économiques, etc.), police prédictive, détection des émotions. J'ai l'impression que ça vient avec des exemptions genre identification biométrique sans étude d'impact OK si menace exceptionnelle, les manipulations qui n'entraînent pas un risque sur la santé physique ou psychique sont OK, la détection d'émotions hors maintien de l'ordre, taff / école, et contrôle aux frontières est OK, certaines formes de police prédictives sont OK, etc., ce qui vide le texte de sa substance.
    
    
  • Autorisation conditionnelle / homologation par les autorités nationales / IA à hauts risques : celles portant sur la santé, la sécurité et les droits fondamentaux. Si l'autorité nationale est aussi vaillante que la CNIL ou l'ARCEP, ce texte apporte aucune garantie.
    
    
  • Obligation de transparence / IA à moyens risques : robot conversationnel, trucage vidéo réaliste, etc.
    
    
  • Autorisée : objets connectés personnels. Je pense que ça vise les IA faibles (= quasi pas de l'IA) avec peu d'interactions avec l'extérieur.
• Quid du droit d'auteur ? Obligation de déclarer les œuvres utilisées pour entraîner l'IA rajoutée lors du dernier jet. Je pense que ça ne va pas s'arrêter là.
  
  
• Nouveau coordinateur européen des autorités nationales : bureau européen de l'IA.
  
  
• Doc' technique pour les devs, bacs à sable créés par les autorités nationales, enregistrement des modèles dans une BDD européenne, etc.

Bref, rien de transcendant, règlement plutôt flou et timide.

Sources :

• AI Act : le texte interdit désormais la reconnaissance faciale, la notation sociale et la police prédictive.
  
  
• Artificial Intelligence Act : voici ce que prépare l'Union européenne pour encadrer l'IA.

ÉDIT DU 21/12/2023 :
Accord entre les co-législateurs de l'UE début décembre 2023. Changements :

• L'IA n'est plus interdite pour le répressif (autorisation judiciaire préalable sauf urgence, liste d'infractions… qui sera élargi plus tard comme à chaque fois), y compris pour l'identification biométrique en temps réel (limite dans le temps et l'espace, pour terro, recherche de victimes, auteur d'une grave infraction parmi une liste) ou non (pour un condamné / soupçonné d'un crime grave), ni pour le contrôle aux frontières ;
  
  
• IA à haut risque : analyse d'impact obligatoire. Les IA qui influencent des électeurs sont OK (alors que toute exploitation d'une vulnérabilité, y compris sociale / économique est interdite… je cherche la logique). Possibilité de déposer plainte et d'obtenir des explications (si concerné par le traitement) ;
  
  
• IA générale : documentation à jour, respecter le droit d'auteur, publier un résumé détaillé du corpus d'entraînement. Si risque systémique : évaluation du modèle, atténuer les risques, rendre compte, tests, etc. ;
  
  
• Répartition des responsabilités des fournisseurs / utilisateurs ;
  
  
• Auto-certification ;
  
  
• Sanctions en pourcentage du chiffre d'affaires ;
  
  
• Ce règlement ne s'applique pas dans les domaines de compétences réservés aux États membres : sécu nationale, défense, etc. ;

Le texte doit être approuvé dans les mêmes termes par le Parlement UE et le Conseil, après les derniers affinages techniques.

Sources :

• AI Act : les grandes lignes de l’accord institutionnel ;
  
  
• Parlement UE ; Conseil ; Commission.

Pendant ce temps, chez les ricains : décret présidentiel (circulaire qui contraint uniquement l'administration). Déclaration et coopération avec les autorités si IA dangereuse (économie, sécurité nationale, santé publique, etc.), tests, commande d'études (sécurité, perte d'emplois), et invitation à ajouter un filigrane aux œuvres.

FIN DE L'ÉDIT DU 21/12/2023.

ÉDIT DU 24/03/2024 : le Conseil de l'UE a adopté l'AI Act le 2 février 2024. D'après le Canard enchaîné du 21/02/2024, la France a plaidé pour un allégement des obligations de transparence, et a obtenu, à cet effet, une mention du secret des affaires dans le texte. FIN DE L'ÉDIT DU 24/03/2024.

Projet de loi en cours de "discussion" au Parlement français (il reste la CMP).

• Filtre anti-arnaques promis par Macron. Phishing, usurpation d'identité, site exploitant une faille de sécurité, etc. Blocage administratif via DNS (FAI et fournisseurs de récursifs tiers) et navigateurs web. Liste noire tenue par plusieurs autorités administratives (l'étude d'impact en cite beaucoup : ANSSI, ACPR, AMF, Signal SPAM, etc., reste à voir ce qui sera pratiqué). Liste publiée après 72 h. Il serait débrayable en échange d'un avertissement effrayant (dans les derniers débats).
  
  
• Filtre anti-porno promis par Macron. Blocage administratif, par l'ARCOM, des sites web qui ne vérifient pas l'âge. Référentiel des outils / méthodes pour vérifier l'âge (hahaha, le bon vieux temps de HADOPI et de la sécurisation des accès à Internet avec un outil magique qui n'a jamais existé ni, de fait, été labellisé :') ). Suite de deux lois en trois ans. La rédaction de la loi de 2020, qui sert de base, vise tout site web permettant d'accéder à du porn. Y compris les réseaux sociaux ? J'en doute. Des amendements ont rajouté le retrait de contenu à la demande des acteurs (en cas d'un défaut / fin de cession de droits) et le blocage des applis contrevenantes à la limite d'âge (cohérence avec la loi 2022-300, à mes yeux).
  
  
• Blocage administratif, par l'ARCOM, d'une chaîne de TV étrangère de propagande (+ amende de 4 % de son CA pour la chaîne).
  
  
• Peine de bannissement d'un réseau social pour haine, pédoporn, images violentes, etc. Il s'agit d'une peine complémentaire (dans un procès judiciaire) ou d'une alternative à une poursuite pénale. Dans une entrevue, Macron a dit bannissement sans juge judiciaire, donc à suivre. Le gouv' compare avec l'interdiction de stade… Ça marche tellement bien qu'il déploie trouzemilles keufs à chaque rencontre… Perso, je me demande comment ça se passera quand le réseau social est utilisé pour s'identifier sur d'autres sites ?
  
  
• Retrait administratif d'un contenu pédoporn sous 24 h. Sur ce point, le gouv' reprend le règlement européen CSAR en discussion.
  
  
• Cloud : réduction de la captivité par l'interdiction des frais de sortie / transfert + limitation des avoirs (crédits incitant à venir) + interopérabilité. L'ARCEP veillera. Le gouv' justifie ça par le Data Act, mais je trouve que ça va au-delà. Bonne idée, même si ça arrive trop tard.
  
  
• Désignation des autorités nationales chargées du DSA et du DMA. DSA : ARCOM + CNIL (pour l'absence de profilage pub des mineurs) + DGCCRF (pour les places de marchés). DMA : ADLC.
  
  
• Évidemment, ça a été la fête à Neu-Neu à l'Assemblée sur la fin de l'anonymat, celle des VPN débouchant à l'étranger, peine de bannissement pour diffamation / injure ou pour menace / intimidation d'élus ou pour entrave à l'avortement, amende forfaitaire délictuelle pour diffamation / injure raciste / sexiste ou contestation de crime contre l'humanité, doctrine cloud au centre inscrite dans la loi, interdire la "vente liée" (la préférence d'un cloud partenaire, plutôt) entre un « logiciel d'entreprise » et un cloud (les ESN proposent Salesforce avec AWS, par ex.) sauf pour des exceptions (suites bureautiques, etc.), liste d'administrations et d'opérateurs contraintes au cloud souverain (annulé, a priori), peine "stage de sensibilisation au respect", les sites pornos devront afficher un avertissement avant la simulation d'un viol / agression, pénalisation des deep fakes surtout sexuels), encadrement des jeux à objet numérique monétisable (des items achetés / vendus dans un jeu ou de la monnaie dans un tel jeu, quoi), énième amendement "airbnb" tentant de permettre aux villes de faire respecter le délai max de location temporaire… À voir ce qui restera.

Critiques :

• Massification du blocage administratif de sites web. On passe de l'exception (pour terrorisme, apologie du terrorisme, pédoporn et jeux d'argent depuis 2022) à une norme (arnaques, propagande, porno). Implication d'un plus grand nombre d'acteurs (récursifs DNS tiers et navigos web).
  
  
• Identité numérique (étatique ou non) partout : porn, réseaux sociaux à cause de la loi 2023-566 (?), voire pour le bannissement (d'un autre côté, peut-être que nos politiciens pensent que le bannissement sans empêcher la création d'un nouveau compte est suffisant puisqu'on perd ses relations sociales, son influence, etc.) Objectif de 100 % des Français dotés d'une identité numérique d'ici 2030 + rapport sur la capacité de l'État à généraliser l'identité num a été ajoutée par amendement.
  
  
• Inconventionnalité avec le droit UE qui prime quand il existe (ce qui est le cas de la régulation des grandes plateformes avec le DSA) ?
  • Les désaccords portent sur : la modération des contenus (l'article 9 du DSA permet des injonctions transfrontalières) ; vérification de l'âge pour l'accès au porn (article 35 DSA sur la sécu des mineurs) mais OK pour une loi transitoire (en attendant que l'UE concrétise son mécano) ; peine de bannissement et obligation, pour une plateforme, de signaler des contenus porn à ses utilisateurs = surveillance généralisée des contenus.
    
    
  • Arrêt C-376/22 de la CJUE (communiqué de presse) : seul l'État membre dans lequel une plateforme est établie peut prendre des mesures générales et abstraites s'appliquant à toute une catégorie d'acteurs (régulation ex-ante), hors ordre public, santé publique, sécurité publique ou protection des consommateurs (mais il y a alors des conditions strictes).

ÉDIT DU 24/12/2023 : on attend toujours la réunion de la Commission Mixte Paritaire. FIN DE L'ÉDIT DU 24/12/2023.

Sources :

• « Sécuriser et réguler » le numérique : ce que contient le projet de loi.
  
  
• Le blocage de site sans juge et le projet PJLSREN du gouvernement.
  
  
• Projet de loi SREN : le gouvernement sourd à la réalité d’internet.
  
  
• Encadrement des fournisseurs cloud : ce qui s’est joué à l’Assemblée nationale.

« Le considérant 14 de la directive e-commerce précise que « La présente directive ne peut pas empêcher l’utilisation anonyme de réseaux ouverts tels qu’Internet. » La CJUE rattache également ce droit à naviguer anonymement sur Internet aux articles 7 (droit à la vie privée) et 8 (droit à la protection des données personnelles) de la Charte UE des droits fondamentaux : « Ainsi, en adoptant cette directive [e-privacy n° 2002/58], le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte, de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement. » (CJUE, gr. ch., 6 octobre 2020, La Quadrature du Net e.a., aff. C-511/18, C-512/18 et C-520/18, pt. 109 [ arrêt relatif aux données de connexion). Par ailleurs, la CJUE parle d’anonymat, et non de pseudonymat.
[…]
La Cour européenne des droits de l’Homme (CEDH) considère, au visa de l’article 10 de la CESDH qui protège le droit à la liberté d’expression, qu’il existe un principe de droit à l’anonymat sur Internet (CEDH, gr. ch., 16 juin 2015, Delfi AS c. Estonie, n° 64569/09, § 147). Ce droit à l’anonymat est également issu du droit à la vie privée de la [ CESDH ] puisque la Cour considère qu’un internaute conserve une attente raisonnable relative au respect de sa vie privée lorsque son adresse IP est traitée lors de sa navigation en ligne, alors même que l’adresse IP est, dans ce contexte, une donnée personnelle rendue publique par la navigation (CEDH, 24 avril 2018, Benedik c. Slovénie, n° 62357/14, §§ 100–119). »

D'un autre côté, dans son arrêt Breyer contre Allemagne de 2020, la CEDH valide la collecte de données d'identification des détenteurs d'une carte SIM prépayée car l'ingérence est nécessaire et proportionnée. Donc, tout dépend de l'objectif poursuivi et des modalités de mise en œuvre.

Concernant la dangerosité de l'anonymat sur le ternet, je ressors ça : Pourquoi la levée de l'anonymat sur Internet ne mettra pas fin aux délits en ligne (une expression agressive dépend plus de l'implication dans un sujet, de la position sociale de l'auteur, et de l'acceptation sociale de tels propos).

Source : Projet de loi SREN et accès au porno : identifier les internautes ne résoudra rien.

Règlement européen « responding to Child Sexual Abuse Material (CSAM) » en cours de discussion. Suite de la dérogation à ePrivacy de 2021.

Fait partie de la stratégie de l'UE « pour un meilleur Internet pour les enfants » (ça fait penser au Online Safety Act du Royaume-Uni, j'vais y revenir).

• Faire surveiller par les hébergeurs et les opérateurs / fournisseurs, les publications, les magasins d'applis, et les messageries privées (côté client, donc avant chiffrement) afin d'identifier le pédoporn (plus largement les violences sexuelles sur mineur). LQDN considère que les chats dans les jeux vidéo sont concernés. Contrairement au DSA, pas d'exemption en dessous d'un seuil (CA, nombre d'utilisateurs, etc.) ;

• Plusieurs étapes obligatoires :

  • Un opérateur / fournisseur ou hébergeur doit évaluer le risque d'utilisation de son service pour du CSAM. Indices : âge des utilisateurs (vérif' ou, à mon avis, analyse en douce des propos), ce qui, avec les lois interdisant les réseaux sociaux aux jeunes (loi 2023-566 instaurant une majorité numérique et luttant contre la haine en ligne, est déjà en route ; comparer son service à un autre ; possibilité, pour des adultes, de discuter avec des mineurs ; etc. ;
    
    
  • Atténuation du risque identifié : équipe de modération adéquate, coopération avec les signalements, contrôle parental (car les FAI sont aussi concernés par le CSAR), etc. ;
    
    
  • Si le risque est important, une injonction ciblée, judiciaire ou administrative, de surveillance généralisée du CSAM peut être émise à l'encontre d'un service. Temporaire (12 à 24 mois si vrai pédoporn ou nudité ou…) mais renouvelable sans limite. Les critères sont flous (comparaison avec des services similaires, par ex.), d'où une crainte de surveillance généralisée (la compréhension française de l'injonction prônée par le CJUE en matière de rétention de données de connexion est une injonction générale, appliquée à tous les FAI, par ex.). La détection porte sur des contenus connus (liste d'empreintes fournies par les autorités instituées par ce règlement, entraînement des outils maison sur du CSAM déjà identifié hors données biométriques ‒ visage, voix ‒, etc.) ou inconnus ainsi que sur les propos qui amorcent les abus. Détection côté client, sur les terminaux, donc le chiffrement de bout en bout est contourné ;
• Un « Centre de l'UE » sera le coordinateur des autorités nationales (comme l'EDPB ou le BEREC). Il fera des préconisations sur les techniques et les outils utilisables par les fournisseurs / opérateurs et les hébergeurs (hahaha, le bon vieux temps de HADOPI et de la sécurisation des accès à Internet avec un outil magique qui n'a jamais existé ni, de fait, été labellisé :') ). Il collectera les signalements des fournisseurs de services, les qualifiera et s'il y a lieu, les transmettra à Europol ;
  
  
• Demande, judiciaire ou administrative, de retrait d'un contenu publié ou son blocage par les FAI, sous 24 h ;
  
  
• Comme avec le DSA, le lambda (ou le fournisseur) devra pouvoir signaler un contenu, contester une décision (signalement au Centre de l'UE, blocage, retrait, etc.). Extra-territorialité, représentant légal en UE, etc. ;
  
  
• Sanctions similaires à celles du DSA (6 % CA mondial), autorités nationales, plaintes des victimes sous forme d'un semblant de guichet unique sauce RGPD. Les victimes peuvent demander où elles apparaissent et si un contenu litigieux a été retiré (je trouve ça insuffisant mais pertinent). Partage entre les autorités ;
  
  
• Critiques : solutionnisme technologique plutôt que prévention / éducation. Faux positifs (sexto et autres photos dénudées genre vacs, etc.). Les vrais pédocriminels utilisent d'autres modes opératoires (archives chiffrées, darknet, etc.). La CJUE a retoqué la conservation généralisée des données de connexion hors menace réelle, actuelle ou prévisible sur la sécurité nationale, donc une analyse des contenus pour identifier des comportements qui ne sont pas tous des infractions (sexto entre mineurs par ex.)… (Je pense que ça va passer, en jouant sur l'émotion, les chtits nenfants tout ça c'est triste.)

Récemment, Apple s'est fait mousser en annonçant renoncer à détecter les contenus pédoporn sur iCloud. Comme le rappelle LQDN : « Néanmoins, il faut relativiser cette prise de position dès lors que la firme continue d’expérimenter une technologie similaire dans une fonction facultative dénommée « Communication Safety » qui recherche de la nudité directement sur les terminaux. ». On constate cela dans les articles de Wired et d'Ars Technica.

Sources :

• Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (1re partie) et Lutte contre les abus sexuels sur des enfants : le futur règlement CSAM ligne par ligne (2de partie) ;
  
  
• La Commission européenne veut surveiller l'intégralité du web, des mails et des messageries chiffrées ;
  
  
• Pédocriminalité : des juristes de l'UE taclent le projet de surveillance des messageries chiffrées ;
  
  
• Règlement CSAR : la surveillance de nos communications se joue maintenant à Bruxelles.

ÉDIT DU 21/12/2023 :

Fin novembre 2023, les différents groupes politiques du parlement se sont mis d'accord sur une position commune refusant les injonctions généralisées de surveillance d'un acteur. Une surveillance ciblée, sur injonction judiciaire, d'individus et de groupes (genre tout un canal de discussion) sur lesquels pèserait une suspicion resterait possible. Restera à voir les détails quand la nouvelle monture du texte sera publiée genre comment cela sera-t-il fait si chiffrement de bout en bout ? La vérification de l'âge demeure (nouveautés : pas de conservation des "justificatifs" et trucs du même genre, vérification proportionnée pouet-pouet, etc.)

Suite ? Gérer le dissensus avec le Conseil (co-législateur UE). Rien n'est encore joué.

Concernant le Online Safety Act anglais : il concerne l'automutilation, les menaces, le harcèlement, les fausses infos (kézako ? Tout gouvernement, collectif ou individu en diffuse en permanence…), la pub pour des escroqueries (tout le marketing n'est-il pas une escroquerie ?), l'accès au porn par les mineurs et donc l'impossible question de la vérification de l'âge. Il a un côté DSA : il concerne aussi les adultes, il vise les grands acteurs numériques, il exige d'eux des évaluations de la menace, il prévoit de lourdes sanctions, etc. Comme le règlement CSAR, il prévoit l'analyse des messages interpersonnels mais le gouvernement a promis qu'il n'obligera pas les acteurs à compromettre le chiffrement ni à utiliser des techniques qui n'existent pas (encore heureux), et, c'est bien connu, quand un gouvernement promet, on est rassuré. :))))

FIN DE L'ÉDIT DU 21/12/2023.

Causerie Thinkerview en juin 2021. Retranscription.

Données personnelles (DCP, en vrai) et géopolitique :

• L'ordinateur est fatal (inéluctable). N'existe que ce qui est implémenté (ex. : sans Unicode, des dialectes et des langues ne pouvaient être écrites avec un ordi). Rigidifie le monde (il faut entrer dans les cases prévues, et ajouter des cases après-coup pour rattraper ce qu'on nommera une bourde dans le modèle de données, ne suffit pas : il pourra toujours y avoir des cas imprévus, la multiplication des cas ajoute de la complexité, etc.). La réalité ne rentre pas forcément dans les cases. Contraint l'agent administratif comme l'usager (il a le même logiciel). Plus de négociation possible. Forte contrainte sur les individus : quand un 06 est exigé jusqu'à l'absurde, quand on ne centre pas la médecine sur le patient, etc. ;

  • D'un autre côté, un guichetier peut être incompétent, mal luné, malhonnête, il peut refuser le service au faciès ("ce n'est pas possible"), proposer des solutions sans issue, etc. et un Cerfa n'est pas moins rigide (car il s'agit d'un fichier). Exemple : l'accueil des victimes de viol par les flics. Selon la description du sociologue Max Weber, même sans ordinateur, la bureaucratie a pour but de favoriser l'égalité par la division verticale (celui qui décide n'est pas celui qui est face à l'usager), la mise à distance de l'usager (qui s'apparente à la réification évoquée par Benjamin), une procédure qui se veut invariable, stricte, rigide, etc. Même avant la numérisation de l'administration que nous avons connue, je n'ai pas le souvenir d'avoir eu des conseils pertinents ou un traitement exceptionnel de la part d'un guichetier. Au mieux on m'a proposé un contournement refusé par ceux qui ont traité le formulaire par la suite… Aucun intérêt.
• Tout fichier est une maltraitance potentielle, car il institue une relation d'humain à objet, chosification (réification). Le contre-exemple qui me parle le plus, qui n'est pas donné par Benjamin, mais par Fakir, c'est le PDG de France Télécom qui, se déplaçant sur un site et rencontrant ses salariées (il sort donc d'une représentation sous forme de fiche de ses salariées), renonce à le fermer (source) ;
  
  
• En UE, les DCP font partie des droits de la personne, pas de la propriété privé. Elles nous définissent, tels les attributs d'un objet en POO. D'où toute entité qui manipule des DCP d'Européens doit appliquer le RGPD et qu'il n'y a pas besoin d'établir un préjudice économique pour démontrer une atteinte aux droits (c'est pas faux mais tu vas pas au pénal +/- le civil pour une broutille non plus, et branche administrative dépend de la CNIL dont Benjamin évoquera l'inefficacité…) ;
  
  
• Si l'on additionne les 3 points précédents, un fichier de DCP revient à maltraiter, sans recours, des personnes. D'où c'est encadré ;
  
  
• Le point essentiel du cloud souverain est : quel droit s'applique ? Schrems II illustre un conflit de lois entre FISA et RGPD (comme il en existe en fiscalité et dans tant d'autres domaines). Une géopolitique ambitieuse dépend de la volonté des États membres. Actuellement, manquante. Absence de politique économique dans la présentation du cloud souverain par Bruno Lemaire (école, filière, débouchées, commande publique, etc.) ;
  
  
• La CNIL a adopté ses lignes directrices cookies mi-2019 pour une application à partir de mi-2020 (après la publication de recommandations). Donc, jusqu'à mi-2020, la poursuite de la navigation valait consentement, comme avant l'entrée en vigueur du RGPD. Le RGPD a été voté en 2016 et est entré en application en 2018 justement pour laisser le temps de définir les nouvelles règles, de s'adapter, etc. Il est inacceptable que la CNIL, de son propre chef, prolonge ce délai d'adaptation. Mais le référé de LQDN avait échoué ;
  
  
• Health Data Hub / Système national des données de santé (SNDS) : vrai intérêt pour la recherche ; risques induits par la centralisation et la concentration de beaucoup de données sensibles de toute une population ; risque de mésusages ; la mise en œuvre sans consentement est contestable, une médecine centrée sur le patient aurait été préférable (il choisit à qui il donne, il révoque, etc.).

Passe sanitaire :

• Une obligation vaccinale s'entend, mais pourquoi la coupler avec du contrôle policier et d'identité par le moindre tenancier d'un bistrot qui accédait à masse de DCP ? Les contrôles de vaccination contre les maladies tropicales sont limités dans la temporalité et la quantité de contrôleurs ;
  
  
• Le MODEM voulait que des DCP soient retirées du passe avant de voter le texte. Le gouv' a cédé… tout en appliquant ce qu'il avait prévu au départ, c'est-à-dire ce qui a été retiré de la loi. Problème de séparation des pouvoirs. LQDN avait contesté ce trop-plein de données perso : son référé liberté avait été rejeté par le Conseil d'État.

Redevance copie privée (RCP) :

• Indemnité compensatrice de la liberté de copie privée. Ce n'est pas une taxe, ni une rémunération ;
  
  
• Opacité de la commission administrative qui fixe le barème, l'assiette, etc. Répartition des voix : 12 pour les ayants-droits, 6 pour les consommateurs, 6 pour les équipementiers. Ce sont les ayants-droits qui financent les études d'usages (qui servent à fixer le barème) ;
  
  
• L'industrie se gargarise de la baisse de la vente de supports physiques et du P2P, et de la hausse du streaming légal… Mais la RCP reste constante. Incohérence ;
  
  
• Les pros, qui acquièrent des supports de stockage pour faire autre chose que des copies privées peuvent se faire rembourser la RCP. C'est lourd. Très peu de commerçants proposent une facture mentionnant la RCP. Si on avait voulu que ça fonctionne, ça fonctionnerait, comme la TVA (aux USA, y'a la TVA fédérale et celle de l'État, et ils y arrivent) ;
  
  
• 25 % de la RCP va aux sociétés de gestion collectives pour financer des études ou des festivals et autres événements, qui, de fait, constituent un levier d'influence auprès des élus (vote dans mes intérêts sinon pas de festival dans ta circonscription) ;
  
  
• RCP sur les biens reconditionnés alors que l'enjeu était d'en diminuer le prix le plus possible pour inciter. Elle a déjà été payée à l'acquisition initiale (ça me fait penser aux gobelins dans Harry Potter pour qui un achat est une location, donc il faut restituer un objet au décès d'une personne quitte à ce que les descendants le rachète aux gobelins). Pétition bidonne signée par des directeurs, des administrateurs, une juriste, ou le directeur général de la SCAM, société de gestion collective et qui visait Back Market… qui est une place de marché qui, de fait, n'est pas soumise à la RCP.

Macro-économie :

• « Tout euro d’importation se traduit par une montée du chômage et que tout euro d’exportation » ;
  
  
• Protectionnisme économique douanier ou réglementaire (comme le RGPD ou le format des prises électriques).

Directive européenne 2019/790. Improprement nommée « directive copyright » (régime juridique différent du droit d'auteur qui existe uniquement en droit anglo-saxon).

À l'époque, deux dispositions avaient fait grand bruit : un droit voisin de 20 ans pour la presse, et une obligation de conclure des accords avec les ayants-droits ou, à défaut, de mettre en œuvre un filtrage automatisé des contenus publiés par les utilisateurs.

Au final, on est loin du cataclysme annoncé : le droit voisin ne concerne pas les liens ni les usages perso / non-commerciaux, et le droit de citation prévaut ; le filtrage auto n'est exigé que d'entités ayant un chiffre d'affaires conséquent et/ou un nombre d'utilisateurs actifs conséquent et/ou une certaine ancienneté, et le droit de citation, revue, parodie, critique, prévaut. Je rejoins l'analyse de Calimaq selon laquelle ces critères sont utiles et pertinents pour défendre un Internet acentré à taille humaine (qui, pour moi, passe, entre autres, par l'entrave des géants).

En avril 2022, dans son arrêt C-401/19, la CJUE a validé le filtrage automatique en insistant sur le fait que le contenu doit être manifestement illégal (les FSI n'ont pas à en apprécier de manière autonome ‒ cela vaut aussi pour les plaintes des ayants-droits qui devront être précises ‒), qu'il convient de limiter les faux-positifs (entraves aux usages licites), et qu'un recours contre une censure doit pouvoir être exercé auprès d'une personne physique du FSI. J'observe que YouTube ne satisfait pas ces critères (il ignore les usages licites, et les recours sont automatisés).

Le Conseil d’Etat a catégoriquement rejeté l’argument selon lequel les tribunaux des Etats membres, en particulier leurs cours suprêmes (ou constitutionnelles), seraient habilités à contrôler un « ultra vires » des institutions européennes. La formulation de l’arrêt est une manière implicite de reconnaître qu’il existe un monopole de la Cour de justice de l’UE dans l’interprétation authentique du traité – contrairement à la Cour constitutionnelle fédérale allemande dans l’affaire Weiss. L’arrêt reprend également la jurisprudence (désormais classique) du Conseil d’Etat selon laquelle ce n’est que s’il n’existe pas en droit de l’Union un droit fondamental correspondant à celui garanti par le droit constitutionnel français que ce dernier doit prévaloir.
[…]
Ce point de vue [ « ultra vires » ], défendu par une partie de la doctrine de droit public allemand, a été rejeté l’essentiel de la doctrine des autres États membres, ainsi que par la doctrine allemande de droit communautaire.
[…]
Il s’agit d’une référence à la jurisprudence développée par le Conseil d’État depuis l’affaire Arcelor. Selon cette jurisprudence, qui peut être considérée comme une version française de la doctrine des contro-limiti de la Cour constitutionnelle italienne, s’il existe en droit de l’UE soit en droit primaire, soit comme principe général du droit, un droit fondamental équivalent à celui garanti par le droit constitutionnel français (dans l’affaire Arcelor, il s’agissait du principe d’égalité), le droit de l’UE tel qu’interprété par la Cour de justice doit être appliqué. Ce n’est que si un tel droit n’existe pas dans les deux systèmes juridiques (par exemple le principe de laïcité) que le droit constitutionnel français s’applique le cas échéant en n’appliquant pas une norme européenne.

Pour ceux qui n'ont pas reconnu : l'arrêt qui est commenté, daté du 21 avril 2021, est celui par lequel le Conseil d'État a adapté le droit français en matière de données de connexion aux arrêts de la CJUE. L'arrêt Weiss de la Cour constitutionnelle allemande, qui a capoté, porte sur le rachat de la dette d'États sur le marché secondaire (entre organismes financiers par la BCE (programme PSPP, couramment nommé quantitative easing).

La presse a exigé des droits voisins pour la reprise en ligne de ses contenus (par Google News ou sur Facebook, par ex.). Les journalistes perçoivent les miettes que leurs journaux veulent bien leur laisser. Ce combat était donc celui de bourgeois possesseurs de journaux, quelle surprise.

ÉDIT DU 30/06/2024 : suite. FIN DE L'ÉDIT.

VOUS ME SAOULEZ avec la vidéo de la députée LR qui veut interdire les danses aux mariages : vous êtes des gros débiles. Ils proposent n'importe quoi qui a 0 chance de passer, vous vous indignez comme des robots, et hop ce sujet envahit le débat public... Et la députée (que je ne nomme volontairement pas) ? Elle est ravie, mission accomplie : jusque là elle n'était connue que pour ne pas savoir tenir l'hémicycle quand elle préside, maintenant elle va avoir a une petite aura médiatique de droitarde et son entrée sur les plateaux.
[…]
"Oui, mais ça aurait pu être voté". Non. Désolé de me la jouer expert, mais j'ai un accès permanent à l'hémicycle : je sais comment marche ce jeu. Alors faites confiance aux gens comme moi : on vous prévient quand il y a vraiment danger et qu'il faut monter au créneau.
[…]
Surtout qu'au final, vous allez effectivement finir par transformer ça en truc voté. Exemple ? La proposition de loi Ciotti qui interdisait de filmer les flics : elle allait faire un flop total si personne ne l'avait relevée... Sauf que vous vous êtes tous indignés en pilotes automatiques, en face ils ont vu que ça mordait, ça a fait le tour des plateaux, résultat, 6 mois plus tard, elle se retrouvait dans la loi sécurité globale. Super vous vous êtes indignés, mais vous êtes contents du résultat ?
[…]
on fait pas bien de la politique si on refuse de penser stratégiquement.
[…]
Précision qui semble échapper à beaucoup : une députée LR n'est PAS l'Etat français, et n'est PAS son représentant. […] Quand c'est Macron ou un ministre qui tient ces discours (Blanquer, Vidal, Darmanin), là, il me semble que la réaction est importante, parce que ce n'est pas du tout la même chose.

Je suis d'accord pour dire que c'est l'indignation qui fait crée et fait circuler les sujets et que les propositions de lois ont très souvent un but médiatique. Mais…

Faire confiance aux experts, c'est non. Comment déterminer qui est expert ? LQDN ou Greenpeace, par ex., hurlent quasiment à chaque fois (exemple). Comment faire la part des choses (sauf à étudier soi-même chaque cas en détail) ? Comment dénoncer un comportement déplaisant d'élu sans citer d'exemple ? Ça serait aux politiciens d'être raisonnables, calmes, responsables, etc.

Les propositions de loi "qui ont aucune chance de passer" sont des ballons d'essai, parfois poussés par le gouvernement, pour discuter de la faisabilité, pour récupérer les premiers contre-arguments pour étude, pour repérer les premiers soutiens, etc. et les idées de merde ne meurent jamais. Ça n'a rien à voir avec la publicité d'une idée. Même sans bruit médiatique, le point serait gagné. Y'a qu'à voir l'historique de l'instruction en famille… Toutes les lois que j'ai suivi ont eu une phase de maturation par des propositions de loi et/ou des amendements rejetés.

Prétendre que c'est uniquement l'audimat qui transforme une idée absurde en loi est réducteur. La loi renseignement (2015), la loi séparatisme (2021), et autres lois ayant rencontrées une vive opposition argumentée ont été votées grâce à l'indignation, du coup ?